首页 网站地图 收藏我们
电话:010-88559238

信息系统安全验收测评

《信息系统安全等级保护基本要求》中规定“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”。

  • 简介
  • 服务内容
  • 服务流程
  • 典型案例

一、产品线建设背景:
    GB/T 22239-2008 《信息系统安全等级保护基本要求》中规定
“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”.
    北京市市级信息系统升级改造项目验收管理办法(试行)中第五条规定:“项目承建单位完成项目建设内容,认为系统功能和技术指标达到合同要求的,可向项目建设单位提出项目初验申请,同时提交以下材料:
    1、软件测试报告。
    2、信息安全测评报告。
    3、系统测试方案。
    4、系统测试用例。
    5、系统使用手册。
    6、其他相关资料和文件。
 原则上,满足以下条件之一的项目,其软件测试、信息安全测评以及其他需要的测试必须由具有资质的第三方机构实施并形成测评报告。
二、产品线建设意义:
    1、为信息系统安全验收出具报告:
    政府类资金支持的项目或者课题在验收时,需进行安全验收测评;
    在系统升级或变更时也需要进行安全验收测评
    2、帮助信息系统进行推广:信息系统建成后,需要第三方测评机构出具安全验收测评报告证明其安全性,以便其推广
    3、为系统管理方和建设方提供技术支持:
    为甲方在安全方面把关
    协助乙方达到甲方的要求。
    4、提供信息系统安全咨询和规划建议:
    为已有信息系统进行信息安全现状检测,提供安全整改建议;
    为待建信息系统提供信息安全咨询;
    提供信息安全建设规划,便于逐步完善信息安全建设,申请预算
    5、需进行信息安全管理体系建设的单位:
    完善信息安全管理体系,以便应对监管机构检查;
    加强内部信息安全管理

 

 

信息系统安全体系架构合理性分析
对系统安全体系架构的正确性、合理性进行分析
脆弱性评估
从物理安全、网络安全、主机安全、应用安全、数据安全五个方面识别系统的安全隐患
安全配置检测
对网络、主机、数据库、应用系统的安全性和稳定性进行检测,分析安全配置中存在的安全隐患
渗透性测试
对网络与信息系统存在的漏洞和隐患实施本地或远程渗透性检测与验证发现系统最脆弱的环节
源代码审计
通过对定制开发的应用程序源代码进行安全扫描和审查,识别出可能导致安全问题的编码缺陷和漏洞
信息安全管理体系建设
结合企业现状,规划企业信息安全管理架构
编制信息安全管理制度,协助企业将信息安全管理制度落地
 

委托受理阶段:售前与委托单位就验收测评项目进行前期沟通,签署《保密协议》,接收客户提交的资料。委托单位提交《信息系统安全验收测评委托书》,确定安全验收测评依据、范围和内容,双方签署《信息系统安全验收测评合同》。
测评准备阶段:项目经理组织召开首次会议,介绍安全验收测评工作的实施步骤和时间安排。项目经理组织编写《信息系统安全验收测评方案》,与委托单位进行沟通,确定现场核查测试的具体日期、客户方配合的人员。在有客户方配合人员在场陪同时,方可进行现场测试。
测评实施阶段:项目经理提出测评要求,明确项目组现场测评人员承担的测试项,测评人员要将所核查的内容,详细记录在《现场检测表》中。
综合评估阶段:项目组整理测试数据,完成《信息系统安全验收测评报告》;并就测评结果与客户进行沟通。
结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。客服人员邀请客户填写《客户满意度调查表》,收集客户反馈意见。


 

关注我们

客服电话:

010-88559238/9239
010-88559372/9373

传  真:

010-88559333

电子邮件:

service@cstc.org.cn

点击这里给我发消息